Защита данных о держателях карт - PCI Security Standards Council
advertisement
Стандарт безопасности данных индустрии платежных карт Опросный лист B для самооценки и свидетельство о соответствии Только системы для снятия данных с банковской карты или только автономные терминалы с подключением к телефонной линии, без хранения данных о держателях карт в электронном виде. Версия 2.0 Октябрь 2010 г. PCI DSS ОЛС B, версия 2.0, Изменения документа (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 1 Изменения документа Дата Версия Описание 1 октября 2008 г. 1.2 Обеспечено соответствие стандарту PCI DSS версии 1.2 и внедрены незначительные изменения по сравнению с версией 1.1. 28 октября 2010 г. 2.0 Обеспечено соответствие требованиям и процедурам проведения проверки по стандарту PCI DSS версии 2.0. PCI DSS ОЛС B, версия 2.0, Изменения документа (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница i Содержание Изменения документа .................................................................................................. i Стандарт безопасности данных индустрии платежных карт (PCI DSS): документы по теме ..................................................................................................... iii До начала работы....................................................................................................... iv Заполнение опросного листа для самооценки ...............................................................iv Порядок оформления подтверждения о соответствии стандарту PCI DSS ............... v Рекомендации о неприменимости определенных требований .................................... v Свидетельство о соответствии стандарту, ОЛС B ................................................ 1 Опросный лист B для самооценки ........................................................................... 6 Защита данных о держателях карт ................................................................................... 6 Требование 3. Обеспечить безопасное хранение данных о держателях карт ............ 6 Требование 4. Использовать шифрование данных о держателях карт при их передаче через сети общего пользования ........................................... 7 Внедрение строгих мер контроля доступа ...................................................................... 8 Требование 7. Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью ............................................................. 8 Требование 9. Ограничить физический доступ к данным о держателях карт ........... 8 Регулярно выполнять тестирование систем и процессов обеспечения безопасности .......................................................................................................................10 Требование 12. Разработать и поддерживать политику информационной безопасности для всего персонала организации ............................... 10 Приложение А. (не используется) ....................................................................... 12 Приложение Б. Компенсирующие меры ............................................................ 13 Приложение В. Компенсирующие меры – форма для заполнения ............... 15 Перечень компенсирующих мер – пример заполнения ................................................16 Приложение Г. Причины неприменимости требований ................................. 18 PCI DSS ОЛС B, версия 2.0, Содержание (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница ii Стандарт безопасности данных индустрии платежных карт (PCI DSS): документы по теме Следующие документы были созданы для помощи торгово-сервисным организациям и поставщикам услуг в понимании стандарта PCI DSS и того, как заполнять опросные листы для самооценки. 1 Документ Целевая аудитория Стандарт безопасности данных индустрии платежных карт (PCI DSS): Требования и процедура аудита безопасности Все торгово-сервисные организации и поставщики услуг PCI DSS: понимание назначения требований Все торгово-сервисные организации и поставщики услуг Стандарт безопасности данных индустрии платежных карт (PCI DSS): инструкции и рекомендации по заполнению опросных листов для самооценки Все торгово-сервисные организации и поставщики услуг Стандарт безопасности данных индустрии платежных карт (PCI DSS): Опросный лист А для самооценки и свидетельство о соответствии Торгово-сервисные организации, имеющие право на участие1 Стандарт безопасности данных индустрии платежных карт (PCI DSS): Опросный лист B для самооценки и свидетельство о соответствии Торгово-сервисные организации, имеющие право на участие1 Стандарт безопасности данных индустрии платежных карт (PCI DSS): Опросный лист C-VT для самооценки и свидетельство о соответствии Торгово-сервисные организации, имеющие право на участие1 Стандарт безопасности данных индустрии платежных карт (PCI DSS): Опросный лист С для самооценки и свидетельство о соответствии Торгово-сервисные организации, имеющие право на участие1 Стандарт безопасности данных индустрии платежных карт (PCI DSS): Опросный лист D для самооценки и свидетельство о соответствии Торгово-сервисные организации и поставщики услуг, которые имеют право на участие1 Чтобы определить, какой опросный лист следует использовать, см. документ “Стандарт безопасности данных индустрии платежных карт: рекомендации и инструкции по заполнению опросных листов”, раздел ““Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят для вашей организации”. PCI DSS ОЛС B, версия 2.0, Стандарт безопасности данных индустрии платежных карт (PCI DSS): документы по теме Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница iii Стандарт безопасности данных индустрии платежных карт и стандарт безопасности данных платежных приложений. Глоссарий терминов, аббревиатур и сокращений Все торгово-сервисные организации и поставщики услуг До начала работы Заполнение опросного листа для самооценки Опросный лист для самооценки (ОЛС) B предназначен для торгово-сервисных организаций, которые обрабатывают данные о держателях карт только с помощью машин для чтения данных или автономных терминалов с подключением к телефонной сети. Торгово-сервисные организации, упомянутые здесь и в документе “Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS”. Торговосервисные организации обрабатывают данные о держателях карт только с помощью систем для чтения данных с банковской карты или с помощью автономных терминалов, с подключением к телефонной линии. При этом торгово-сервисная организация может иметь физические пункты обслуживания клиентов (в этом случае при проведении операций клиенты предоставляют платежные карты), или же может работать в области электронной торговли, торговли по почте или по телефону (в этом случае операции проводятся без предоставления платежных карт). Такие торгово-сервисные организации могут проверить свое соответствие, заполнив опросный лист B и связанное с ним свидетельство о соответствии для подтверждения следующих фактов: Ваша компания использует только машины для чтения данных или только автономные терминалы с подключением к телефонной сети для обработки данных о держателях карт. Автономные терминалы не подключены к другим системам в вашей среде. Автономные терминалы не подключены к интернету. Ваша компания не передает данные о держателях карт по сети (внутренней или интернету). Ваша компания хранит только бумажные отчеты или квитанции с данными о держателях карт, и эти документы не принимаются в электронном виде. Ваша компания не хранит данные в электронном формате. Каждый раздел опросного листа соответствует определенной области безопасности согласно требованиям, указанным в документе “Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности”. Сокращенная версия опросного листа содержит вопросы, применимые к определенным типам торгово-сервисных организаций согласно указанным условиям. Если существуют требования PCI DSS, применимые к вашей среде и отсутствующие в данном опросом листе, возможно, данный опросный лист не подходит вашей организации. Кроме того, для соответствия стандартам PCI DSS необходимо выполнить все требования. PCI DSS ОЛС B, версия 2.0, Стандарт безопасности данных индустрии платежных карт (PCI DSS): документы по теме Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница iv Порядок оформления подтверждения о соответствии стандарту PCI DSS 1. Оцените свою среду на соответствие требованиям PCI DSS. 2. Заполните опросный лист для самооценки (ОЛС) B согласно инструкциям, приведенным в документе “Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS”. 3. Заполните Свидетельство о соответствии. 4. Отправьте заполненные ОЛС и Свидетельство о соответствии вместе со всей прочей требуемой документацией банку-эквайеру. Рекомендации о неприменимости определенных требований Неприменимость: Для требований, которые представляются неприменимыми к вашей среде, следует указать “H/п” в столбце “Комментарии” опросного листа. Для каждого такого требования заполните форму “Причины неприменимости требований”, приведенную в приложении Г. PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 Октябрь Страница v Свидетельство о соответствии стандарту, ОЛС B Инструкции по отправке Торгово-сервисная организация должна заполнить данное Свидетельство о соответствии в знак заявления о соответствии требованиям стандарта PCI DSS, а также процедурам аудита безопасности. Заполните все необходимые разделы согласно инструкциям, приведенным в разделе “Порядок оформления подтверждения о соответствии стандарту PCI DSS” в данном документе. Часть 1. Информация о торгово-сервисной организации и об уполномоченной организации, проводящей аудит безопасности Часть 1a. Информация о торгово-сервисной организации Название компании: Администраторы баз данных: Контактное лицо: Должность: Телефон: Эл. почта: Улица, дом: Город: Область, край: Страна: Почтовый индекс: URL-адрес: Часть 1б. Информация об уполномоченной организации, проводящей аудит безопасности (если применимо) Название компании: Контактное лицо по аудиту безопасности: Должность: Телефон: Эл. почта: Улица, дом: Город: Область, край: Страна: Почтовый индекс: URL-адрес: Часть 2. Область деятельности торгово-сервисной организации (выберите все применимые ответы): Розничная торговля Электронная торговля Телекоммуникации Обработка заказов по почте или по телефону Супермаркеты, розничная торговля продуктами питания Нефть и газ Другое (укажите): PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 Октябрь Страница 1 Перечислите все помещения, офисы, магазины и т.п., включенные в данную проверку на соответствие стандартам PCI DSS: Часть 2a. Взаимоотношения Поддерживает ли ваша компания взаимоотношения с одной или несколькими сторонними компаниями (например, платежными шлюзами, поставщиками вебхостинга, агентами по бронированию авиабилетов, агентами программ лояльности клиентов и т.п.)? Да Нет Поддерживает ли ваша компания взаимоотношения с несколькими банкамиэквайерами? Да Нет PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 Октябрь Страница 2 Часть 2б. Обработка транзакций Как и с какой целью ваша компания хранит, обрабатывает или передает данные о держателях карт? Укажите следующую информацию, касающуюся платежных приложений, используемых в вашей организации: Используемое платежное приложение Номер версии Дата последней проверки по стандарту PABP/PA-DSS Часть 2в. Допуск к заполнению ОЛС B Торгово-сервисная организация подтверждает, что имеет право заполнить данную сокращенную версию опросного листа для самооценки, поскольку выполнены следующие условия: Торгово-сервисная организация использует только системы чтения данных с банковской карты механическим способом (создание печатного оттиска) и не передает данные о держателях карт по телефону или через интернет. Торгово-сервисная организация использует только автономные терминалы не подключенные к интернету и к другим системам в своей среде. Торгово-сервисная организация не хранит данные о держателях карт в электронном формате. Если торгово-сервисная организация хранит данные о держателях карт, то только в виде бумажных отчетов или бумажных копий чеков, но не в электронном виде. Часть 3. Проверка соответствия стандартам PCI DSS На основе результатов, указанных в ОЛС B от (дата заполнения), (название торгово-сервисной организации) заявляет о следующем статусе соответствия (выберите один вариант): Соответствует. Все разделы ОЛС заполнены, на все вопросы дан ответ “Да”, итоговая оценка Соответствует. Следовательно, (название торгово-сервисной организации) полностью соответствует стандартам PCI DSS. Не соответствует. Заполнены не все разделы ОЛС либо ответ “Да” дан не на все вопросы, итоговая оценка Не соответствует. Следовательно, (название торгово-сервисной организации) не полностью соответствует стандартам PCI DSS. Дата обеспечения соответствия. Организации, отправляющей эту форму со статусом “Не соответствует”, может потребоваться заполнить план действий в части 4 данного документа. Перед заполнением части 4 обсудите этот вопрос с банком-эквайером или платежными брендами, поскольку заполнение этого раздела требуется не всеми платежными брендами. PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 Октябрь Страница 3 Часть 3a. Подтверждение статуса соответствия Торгово-сервисная организация подтверждает: опросный лист для самооценки B PCI DSS версии (номер версии ОЛC) был заполнен согласно указанным инструкциям. Вся информация в указанном ОЛС и в данном свидетельстве соответствует результатам оценки. Поставщик платежного приложения подтверждает, что платежная система не хранит конфиденциальные данные после авторизации. Со стандартами PCI DSS ознакомлен(а) и признаю необходимость постоянного соблюдения всех стандартов PCI DSS. На ВСЕХ системах, проверенных в ходе данного аудита, не обнаружено признаков сохранения данных магнитной полосы2, CAV2, CVC2, CID, CVV23, а также данных PIN-кода4 после авторизации операций. Часть 3б. Подтверждение торгово-сервисной организации Подпись руководителя торгово-сервисной организации Дата Имя руководителя торгово-сервисной организации Должность Представитель торгово-сервисной организации 2 Данные, зашифрованные на магнитной полосе (или эквивалентные данные в чипе карты), используются для авторизации при проведении операций с предоставлением карты. Организации могут не хранить полные данные магнитной полосы после авторизации операции. Достаточно хранить только такие элементы, как номер платежной карты, имя держателя карты и дата истечения срока действия карты. 3 Трех- или четырехзначное число, напечатанное справа от места для подписи или на лицевой стороне карты, используется для проверки операций без предоставления карты. Персональный идентификационный номер вводится держателем карты при выполнении операции с предоставлением карты, при этом в сообщении об операции может присутствовать зашифрованный PIN-блок. 4 PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 Октябрь Страница 4 Часть 4. План действий при несоответствии Выберите соответствующий “Статус соответствия” для каждого требования. Если для какого-либо из требований был дан ответ “Нет”, необходимо указать дату, когда компания будет соответствовать данному требованию, а также привести краткое описание действий, которые будут выполнены для обеспечения соответствия. Перед заполнением части 4 обсудите этот вопрос с банком-эквайером или платежными брендами, поскольку заполнение этого раздела требуется не всеми платежными брендами. Статус соответствия (выберите один вариант) Требование PCI DSS ДА Описание требования 3 Обеспечить безопасное хранение данных о держателях карт 4 Использовать шифрование данных о держателях карт при их передаче через сети общего пользования 7 Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью 9 Ограничить физический доступ к данным о держателях карт 12 Разработать и поддерживать политику информационной безопасности для всего персонала организации PCI DSS ОЛС B, версия 2.0, Свидетельство о соответствии (C) PCI Security Standards Council LLC, 2010 НЕТ Дата устранения несоответствия и необходимые для этого действия (если указан статус соответствия “Нет”) Октябрь Страница 5 Опросный лист B для самооценки Примечание. Нумерация следующих вопросов соответствует нумерации требований и процедур проверки PCI DSS согласно документу “Требования и процедуры аудита безопасности PCI DSS”. Дата заполнения: Защита данных о держателях карт Требование 3. Обеспечить безопасное хранение данных о держателях карт Вопрос PCI DSS 3.2 Ответ: Да Нет Прочее* (б) В других случаях, если критичные аутентификационные данные получаются и уничтожаются, существуют ли процессы безопасного удаления данных, гарантирующие невозможность восстановления данных? (в) Во всех ли системах соблюдается запрет на хранение конфиденциальных аутентификационных данных после авторизации (даже если такие данные зашифрованы)? 3.2.1 Хранение полного содержимого дорожки (содержимое магнитной полосы, находящейся на обратной стороне карты, его аналог на чипе либо в ином месте) запрещено в любом случае? Эти данные также называются “полная дорожка”, “дорожка”, “дорожка 1”, “дорожка 2” и “данные магнитной полосы”. Для ведения бизнеса может быть необходимо хранение следующих элементов данных магнитной полосы: имя держателя карты; номер платежной карты (PAN); дата истечения срока действия карты; сервисный код. Для минимизации рисков разрешается хранить только указанные элементы данных. 3.2.2 Хранение кода CVC или значения, используемого для подтверждения транзакций, выполняемых без непосредственного считывания информации с кредитной карты (трех- или четырехзначного числа, изображенного на лицевой или обратной стороне карты), запрещено в любом случае? * “Неприменимо” (Н/п) или “Использованы компенсирующие меры”. Организации, заполняющие этот раздел, должны заполнить таблицу компенсирующих мер или указать причины неприменимости требований (см. Приложение). PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 6 Вопрос PCI DSS 3.2.3 3.3 Ответ: Да Нет Прочее* Хранение персонального идентификационного номера (PIN), а также зашифрованного PIN-блока запрещено в любом случае? Применяется ли маскировка номера PAN при его отображении (максимально возможное количество знаков PAN для отображения – первые 6 и последние 4)? Примечания. Данное требование не относится к сотрудникам и иным сторонам, для работы которых необходимо видеть весь номер PAN; Данное требование не заменяет собой иные более строгие требования к отображению данных о держателях карт (например, на чеках POS-терминалов).. Требование 4. Использовать шифрование данных о держателях карт при их передаче через сети общего пользования Вопрос PCI DSS 4.2 Ответ: Да Нет Прочее* (б) Применяются ли политики, запрещающие отправку незашифрованного PAN при помощи пользовательских технологий передачи сообщений? * “Неприменимо” (Н/п) или “Использованы компенсирующие меры”. Организации, заполняющие этот раздел, должны заполнить таблицу компенсирующих мер или указать причины неприменимости требований (см. Приложение). PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 7 Внедрение строгих мер контроля доступа Требование 7. Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью Вопрос PCI DSS 7.1 Ответ: Да Нет Прочее* Доступом к вычислительным ресурсам и информации о держателях карт обладают только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями? 7.1.1 Доступ пользователям предоставлен только к тем данным, которые необходимы им для выполнения своих должностных обязанностей? 7.1.2 Назначение прав доступа пользователям основано на их должностных обязанностях? Требование 9. Ограничить физический доступ к данным о держателях карт Вопрос PCI DSS 9.6 Ответ: Да Нет Прочее* Процедуры физической защиты данных о держателях карт включают меры по защите всех видов носителей (например, компьютеров, съемных электронных носителей, бумажных счетов, бумажных отчетов и факсов)? Термин “носитель данных” включает в себя бумажные и электронные носители, которые содержат данные о держателях карт. 9.7 (a) Обеспечен ли строгий контроль над внутренним и внешним распространением всех видов носителей информации? (b) Включает ли контроль следующие меры? 9.7.1 Носители информации классифицированы для определения уровня конфиденциальности хранимых данных? 9.7.2 Пересылка носителей осуществляется только с доверенным курьером или иным способом, который может быть тщательно проконтролирован? * “Неприменимо” (Н/п) или “Использованы компенсирующие меры”. Организации, заполняющие этот раздел, должны заполнить таблицу компенсирующих мер или указать причины неприменимости требований (см. Приложение). PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 8 Вопрос PCI DSS Ответ: 9.8 Ведутся ли журналы для отслеживания всех носителей, перемещенных из безопасного места, и требуется ли получение согласия руководства перед перемещением носителей (особенно при распространении носителей частным лицам)? 9.9 Поддерживается ли строгий контроль хранения носителей и доступа к ним? 9.10 Уничтожаются ли носители, содержащие данные о держателях карт, хранение которых более не требуется для выполнения бизнес-задач или требований законодательства? Да Нет Прочее* Выполняется ли уничтожение следующими способами? 9.10.1 (a) Уничтожаются ли бумажные материалы путем измельчения, сожжения или растворения таким образом, чтобы данные о держателях карт не могли быть восстановлены? (b) Обеспечивается ли безопасность контейнеров, в которых хранится подлежащая уничтожению информации, чтобы предотвратить доступ к содержимому контейнеров? (Например, оборудован ли контейнер с материалами, подлежащими измельчению, замком?) PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 9 Регулярно выполнять тестирование систем и процессов обеспечения безопасности Требование 12. Разработать и поддерживать политику информационной безопасности для всего персонала организации Вопрос PCI DSS 12.1 Ответ: Да Нет Прочее* Существует ли установленная, опубликованная, постоянно поддерживаемая и доведенная до сведения всего персонала политика безопасности? В контексте данного требования термином “персонал” обозначаются постоянные сотрудники, временные сотрудники, сотрудники, работающие по совместительству, и консультанты, находящиеся на объекте компании или так или иначе имеющие доступ к среде данных о держателях карт. 12.1.3 12.3 Политика информационной безопасности пересматривается, по меньшей мере, ежегодно и обновляется в случае изменения бизнес-целей и среды данных о держателях карт? Разработаны ли правила эксплуатации для критичных технологий (таких как системы удаленного доступа, беспроводные технологии, съемные носители информации, мобильные компьютеры, планшеты, карманные компьютеры, электронная почта и интернет), чтобы определить корректный порядок использования этих устройств всеми сотрудниками? Применяются ли следующие требования? 12.3.1 Явное одобрение использования устройств уполномоченными лицами? 12.3.3 Перечень используемых устройств и сотрудников, имеющих доступ к таким устройствам? 12.3.5 Допустимые варианты использования устройств? 12.4 Политика и процедуры обеспечения безопасности однозначно определяют обязанности всего персонала организации, относящиеся к информационной безопасности? 12.5 Назначены ли определенному сотруднику или группе сотрудников следующие обязанности в области управления информационной безопасностью: * “Неприменимо” (Н/п) или “Использованы компенсирующие меры”. Организации, заполняющие этот раздел, должны заполнить таблицу компенсирующих мер или пояснение неприменимости (см. приложение). PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 10 Вопрос PCI DSS 12.5.3 Ответ: Да Нет Прочее* Разработка, документирование и распространение процедур реагирования на инциденты и сообщения о них, чтобы гарантировать быструю и эффективную обработку всех ситуаций? 12.6 (a) Внедрена ли официальная программа повышения осведомленности персонала по вопросам безопасности с целью донести до них важность обеспечения безопасности данных о держателях карт? 12.8 В случае, когда данные о держателях карт становятся доступны поставщикам услуг, разработаны ли политики и процедуры взаимодействия с ними? 12.8.1 Поддерживается ли перечень поставщиков услуг? 12.8.2 Составляются ли письменные соглашения о том, что поставщики услуг ответственны за безопасность переданных им данных о держателях карт? 12.8.3 Применяется ли разработанный процесс тщательной проверки поставщика услуг перед началом взаимодействия с ним? 12.8.4 Поддерживается ли программа проверки соответствия поставщика услуг требованиям PCI DSS? PCI DSS ОЛС B, версия 2.0, Опросный лист для самооценки (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 11 Приложение А. (не используется) Эта страница умышленно оставлена пустой PCI DSS ОЛС B, версия 2.0, приложение A. (не используется) (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 12 Приложение Б. Компенсирующие меры Компенсирующие меры могут использоваться для требований PCI DSS в том случае, если проверяемая организация не может выполнить требование по обоснованным техническим или бизнес-ограничениям, однако успешно снизила риск, связанный с требованием, путем реализации другой компенсирующей меры. Компенсирующие меры должны удовлетворять следующим требованиям: 1. Преследовать ту же цель, что и изначальное требование PCI DSS. 2. Обеспечивать ту же степень защищенности, что и изначальное требование PCI DSS, чтобы снизить риск также эффективно, как и изначальное требование. (См. документ “PCI DSS: понимание назначения требований” для определения цели каждого требования PCI DSS.) 3. Обеспечивать определенную избыточность сверх требуемого. (Недостаточно просто удовлетворять всем остальным требованиям PCI DSS – это не является компенсирующей мерой). При анализе избыточности следует руководствоваться следующими моментами: Примечание. Пункты с а) по с), приведенные ниже, являются лишь примерами. Все компенсирующие меры должны быть проверены и утверждены аудитором. Эффективность компенсирующих мер – довольно специфичный момент, зависящий от многих факторов. Следует помнить, что одна и та же мера не может быть одинаково эффективна в разных системах. a) Существующее требование PCI DSS НЕ МОЖЕТ рассматриваться как компенсирующая мера, если она уже описана в отчете. Например, пароли на административный удаленный доступ должны передаваться в зашифрованном виде, для защиты от перехвата. Организация не может использовать другие меры относительно паролей PCI DSS, такие как блокировка нарушителя, сложные пароли и т. д., для компенсации отсутствия зашифрованных паролей, поскольку эти меры не способствуют снижению риска перехвата паролей. Кроме того, другие меры уже являются требованиями PCI DSS для объекта, подлежащего проверке (пароли). b) Существующее требование PCI DSS МОЖЕТ рассматриваться как компенсирующая мера, если оно снижает существующий риск. Например, двухфакторная аутентификация, являющаяся требованием при удаленном доступе. Она также может использоваться и внутри сети для защиты административного доступа, если шифрование аутентификационных данных невозможно. Двухфакторная аутентификация может считаться допустимой компенсирующей мерой в следующих случаях: 1) если она соответствует цели изначального требования и обеспечивает защиту от перехвата паролей администраторов; и 2) если она настроена надлежащим образом и выполняется в защищенной среде. c) Существующие требования PCI DSS могут использоваться совместно с другими мерами как компенсирующие. Например, если компания не может реализовать нечитаемое хранение карточных данных в соответствии с требованием 3.4 (например, путем шифрования), компенсирующей мерой может считаться использование устройства или комбинации устройств, приложений и мер, направленных на 1) сегментацию сети; 2) фильтрацию по IP- или MAC-адресам; и 3) использование двухфакторной аутентификации во внутренней сети. 4. Компенсирующие меры должны быть соизмеримыми с дополнительным риском, вызванным невозможностью выполнить требование PCI DSS; Руководствуясь вышеперечисленными пунктами, аудитор должен проверить каждую компенсирующую меру, чтобы убедиться, что она адекватно соотносится с риском, который PCI DSS ОЛС B, версия 2.0, приложение Б. Компенсирующие меры (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 13 призвано уменьшить исходное требование PCI DSS. Следует также иметь разработанные процедуры и использовать определенные меры по соответствию требованиям, чтобы гарантировать, что компенсирующие меры остаются эффективными после выполнения оценки. PCI DSS ОЛС B, версия 2.0, приложение Б. Компенсирующие меры (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 14 Приложение В. заполнения Компенсирующие меры – форма для Укажите в этой форме компенсирующие меры для всех требований, где был выбран ответ “Да” и в столбце “Комментарии” были упомянуты компенсирующие меры. Примечание. Только организации, выполнившие оценку рисков, могут пользоваться компенсирующими мерами для достижения статуса соответствия. Номер и определение требования: Требуемая информация 1. Ограничения Перечислите ограничения, препятствующие выполнению исходного требования стандарта. 2. Цель Определите цель исходного требования и компенсирующей меры. 3. Определение риска Опишите дополнительный риск, связанный с невыполнением исходного требования. 4. Определение компенсирующих мер Опишите компенсирующую меру и то, как она соответствует требованию, создает дополнительные риски (если создает). 5. Проверка компенсирующих мер Опишите, как компенсирующие меры были проверены и протестированы. 6. Соблюдение Опишите, как контролируется процесс соблюдения компенсирующей меры. Объяснение PCI DSS ОЛС B, версия 2.0, приложение В. Компенсирующие меры – форма для заполнения Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница 15 Перечень компенсирующих мер – пример заполнения Укажите в этой форме компенсирующие меры для всех требований, где был выбран ответ “Да” и в столбце “Прочее” были упомянуты компенсирующие меры. Номер требования: 8.1 — Все ли пользователи имеют уникальный идентификатор для получения доступа к системным компонентам среды или данным держателей карт? Требуемая информация Объяснение 1. Ограничения Перечислите ограничения, препятствующие выполнению исходного требования стандарта. Компания XYZ использует отдельно стоящие Unix-серверы без LDAPавторизации. Таким образом, на каждый из них требуется заходить под учетной записью суперпользователя (“root”). Компания не может управлять входом “root” и следить за использованием этой учетной записи каждым пользователем. 2. Цель Определите цель исходного требования и компенсирующей меры. Использование уникального идентификатора преследует две цели. Во-первых, с точки зрения безопасности недопустимо использовать общие учетные записи. Во-вторых, в таком случае невозможно определить, какой администратор ответственен за определенные действия. 3. Определение риска Опишите дополнительный риск, связанный с невыполнением исходного требования. Дополнительный риск связан с тем, что не всем пользователям назначен уникальный идентификатор и их действия не могут быть отслежены. 4. Определение компенсирующи х мер Опишите компенсирующую меру и то, как она соответствует требованию, создает дополнительные риски (если создает). Пользователям предписано использовать команду SU для получения доступа с правами суперпользователя. Все действия, связанные с запуском этой команды, записываются в отдельный файл журнала. Таким образом, действия каждого пользователя можно отслеживать через учетную запись SU. 7. Проверка компенсирующи х мер Опишите, как компенсирующие меры были проверены и протестированы. Компания XYZ продемонстрировала аудиторам, что команда SU выполняется и что действия тех пользователей, которые используют эту команду, записываются с целью определения того, что пользователь выполняет действия с правами доступа root. 8. Соблюдение Опишите, как Компания XYZ имеет процессы и PCI DSS ОЛС B, версия 2.0, приложение В. Компенсирующие меры – форма для заполнения Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница 16 контролируется процесс соблюдения компенсирующей меры. процедуры, которые обеспечивают неизменность конфигурации SU и возможность для пользователей выполнять команды root без отслеживания и протоколирования. PCI DSS ОЛС B, версия 2.0, приложение В. Компенсирующие меры – форма для заполнения Октябрь 2010 г. (C) PCI Security Standards Council LLC, 2010 Страница 17 Приложение Г. Причины неприменимости требований Если в столбце “Комментарии” был указан ответ “Н/п” или “Неприменимо”, поясните в этой таблице, почему соответствующее требование неприменимо к вашей организации. Требование Пример: 12.8 Причина, в силу которой требование неприменимо Данные о держателях карт никогда не предоставляются поставщикам услуг. PCI DSS ОЛС B, версия 2.0, приложение Г. Причины неприменимости требований (C) PCI Security Standards Council LLC, 2010 Октябрь 2010 г. Страница 18
